Настройка входа в систему с Astra Linux Directory

Из документации:

Служба ALD (Astra Linux Directory) представляет собой систему управления ЕПП (единое пространство пользователей).
Она является надстройкой над технологиями LDAP, Kerberos 5, CIFS и обеспечивает автоматическую настройку всех необходимых файлов конфигурации служб, реализующих перечисленные технологии, а так же предоставляет интерфейс управления и администрирования.

Настройка окружения пользователя при входе в систему обеспечивается PAMмодулем ALD, который выполняет следующие функции:
– получение параметров окружения пользователя с сервера домена;
– проверка возможности входа пользователя на данный компьютер по списку разрешенных пользователю компьютеров;
– проверка возможности использования пользователем типа ФС его домашнего каталога;
– настройка параметров окружения пользователя;
– монтирование домашнего каталога пользователя;
– включение доменного пользователя в заданные локальные группы.

Для корректной работы надо убедиться, что доменные имена сервера и клиентов корректно отображаются. В файле /etc/hosts к полному доменному имени должен быть короткий псевдоним, дублирующую запись для 127.0.1.1 стоит закоментировать или удалить

$ cat /etc/hosts

127.0.0.1	localhost
# 127.0.1.1	ald-server
192.168.15.132	ald-server.example.ru	ald-server
192.168.15.129	astra.example.ru	astra
# The following lines are desirable for IPv6 capable hosts
...

комадна hostname на сервере и клиенте должна выводить короткое имя, если требуется, необходимо отредактировать /etc/hostname. На примере ald-сервера

$ cat /etc/hostname

ald-server

Доменные имена в конфигурационном файле ald-сервера должны совпадать с hosts

$ cat /etc/ald/ald.conf

...
DOMAIN=.example.ru
...
SERVER=ald-server.example.ru

На сервере выполняем команду

$ sudo ald-init init

Которая по нашим ответам на вопросы сконфигурирует все необходимые службы.

На клиенте выполним

$ sudo ald-client join ald-server

Которая так же автоматически всё сконфигурирует. Но прежде на сервере надо создать пользователя для клиента. Для управления ald есть отличная графическая утилита fly-admin-smc

Добавляем пользователя и создаем ему пароль

Указываем нужные нам уровни

Еще одна важная вкладка, где можно сбросить счетчик неправильно введенного пароля, если учетная запись заблокируется

Даем право пользователю добавить компьютер в домен (нужно для команды ald-client join ald-server) и указываем, с какого компьютера пользователь может залогиниться